Hello,
 
Voilà, mon projet actuel est de formaliser une politique de sécurité pour la PME dans laquelle je travaille qui se transforme en groupe petit à petit.
Pour le moment je gère la sécurité sans vraiment de politique standardisée et globale (applicable à des filiales par exemple).
 
Je n'arrive pas vraiment à commencer à vrai dire...  
-fixer les limites de se qui doit être défini par une telle politique (systèmes - réseau - bonnes pratiques utilisateurs...)
-la manière de rédiger une telle politique: un document complet ou plusieurs documents distinct suivant les sujets??
 
Il faut que ce document permette a qqun de monter une filiale avec un réseau, un ou des serveurs et une liaison avec le siège, une méthode de stockage, de sauvegarde, une politique au niveau firewall, au niveau poste client... jusqu'aux mots de passe...
 
Bref c'est vraiment vaste :-/
Je suis donc en recherche de doc, aide ou exemple de politique de sécurité.
Comment ca marche chez vous? avez vous travaillé sur un tel projet?
 
Merci d'avance.

tu as regardé sur le site de la CNIL, il a y a des modèles concernant les politiques relatives à l'utilisation des ressources informatiques au sein de l'entreprise.

Merci je vais regarder, mais nous avions déjà regarder pour définir une "charte informatique". Je vais voir s'il y a des choses sur la partie plus technique.

Re,
 
Rien de bien adequat sur la CNIL... personne n'a un peu d'expérience à partager la dessus?

ben tu as le site de la DCSSI :
http://www.ssi.gouv.fr/fr/index.html
 
Grosso modo, il y a une 1ere phase qui consiste à évaluer les besoins de sécu de l'entité; une 2ieme qui édicte les règles (orga - tech) pour respecter les besoins de sécu identifiés --> PSSI.
 
La 1ere phase doit faire participer le max de type de personnels :
utilisateur, décideur, MOA, MOE, informaticien.
 
Prévoir aussi plusieurs choix techniques/orga : en fonction des budgets allouées certains besoins de sécu ne pourront pas être atteint.
 
Toujours faire valider les choix à haut niveau.
 
Et enfin réaliser des audits techniques genre pentest régulièrement afin de mesurer le réel niveau de sécu du SI...

Merci beaucoup.
 
A notre niveau je pense que notre politique de sécurité est correcte au vu de nos exigences, le problème est plutot que rien est formalisé / documenté... c'est surtout un pb pour les nouvelles entités se greffant au groupe.
 
De plus il n'y a pas de groupe de travail là dessus, je vais faire ça tout seul au mieux.  
 
Je vais donc en gros reprendre nos standards de sécurité actuels en en faisant un minimum exigé.

Bon si le gros taff "est" la(es) déclinaisons techniques de la PSSI déjà bon courage sinon plus serieusement et si le but est d'assurer un minimum de sécu sur un réseau inter-site (dans l'ordre de prio enfin dans celui que je préconise ):
* Travail sur la dispo --> sauvegardes (fréquences, types, stockage) --> redondance --> site de secours
* Travail d'analyse des flux afin de limiter la visibilité inter-site au minimum --> (rendre plus difficile des rebonds)
* Travail sur les méthodes d'administration des équipements sensibles (routage, FW ou serveurs) (virer les protocoles non chiffrés, usage d'un Lan ou vlan dédié, etc..) --> (rendre plus difficile l'obtention de droits d'admin et l'accès aux équipement sensibles)
* Travail sur les MaJ système et antivirale et suivis de celles -ci (web + mail = tunnel potentiel vers le(s) lan depuis internet)
* Travail sur le suivi des actions malveillantes --> log FW,IDS, etc..